拡張 ACL - 例 2

Renovations 社は 1 つの Domino® ドメインを使用します。Domino ディレクトリ内のディレクトリ名階層は、組織 O=Renovations とその下の 2 つの組織単位 OU=West と OU=East で構成されています。

このタスクについて

Renovations Domino ディレクトリには、次の 3 つの管理者グループが含まれています。

  • Admins/Renovations グループ。ディレクトリ全体の文書の管理を担当します。
  • Admins/West/Renovations グループ。OU=West の下の文書と West/Renovations で終わる名前を持つ文書の管理を担当します。
  • Admins/East/Renovations グループ。OU=East の下の文書と East/Renovations で終わる名前を持つ文書の管理を担当します。

セキュリティを確保するために、Renovations では以下の目標を設定しました。

  1. Admins/Renovations グループのメンバーに以下を許可します。
    • ディレクトリのすべての文書に対するすべてのアクセス権を持つ。
    • 拡張 ACL であらゆるターゲットに対するアクセス権を管理する。
  2. Admins/West/Renovations グループのメンバーに以下を許可します。
    • ディレクトリのすべての文書のすべてのフィールドを読み取る。
    • OU=West の文書のみを作成、修正、削除する。
    • OU=West ターゲットでの拡張 ACL を管理する。
  3. Admins/East/Renovations グループのメンバーに以下を許可します。
    • ディレクトリのすべての文書のすべてのフィールドを読み取る。
    • OU=East の文書のみを作成、修正、削除する。
    • OU=East ターゲットの拡張 ACL を管理する。
  4. 管理グループ以外の認証されたユーザーが、データベース全体のユーザー文書、グループ文書、リソース文書のみを参照および読み取りできるようにします。また、どの文書に対しても作成、削除、修正はできないようにします。
  5. 匿名ユーザーがディレクトリにアクセスできないようにします。

次の表は、Renovations が Domino ディレクトリのデータベース ACL と拡張 ACL を設定してセキュリティ上の目標を達成する方法を示しています。

表 1. データベース ACL
件名 アクセス権 説明
-デフォルト- 読者 管理者ではないユーザーが、ユーザー文書、グループ文書、リソース文書を参照および読み取りできるようにするために必要です。
Admins/Renovations グループ
  • マネージャー
  • 削除
  • すべての管理ロール
Admins/Renovations のメンバーがすべての文書と拡張 ACL 全体を管理できるようにします。拡張 ACL 設定は不要です。
Admins/West/Renovations グループ
  • 編集者
  • 作成、削除
  • すべての管理ロール
Admins/West/Renovations のメンバーが、West/Renovations 文書の拡張 ACL を作成、修正、削除、管理できるようにするために必要です。
Admins/East/Renovations グループ
  • 編集者
  • 作成、削除
  • すべての管理ロール
Admins/East/Renovations のメンバーが East/Renovations 文書の拡張 ACL を作成、修正、削除、管理できるようにするために必要です。
匿名 アクセス権限なし 匿名ユーザーがディレクトリのどの情報にもアクセスできないようにします。拡張 ACL 設定は不要です。
表 2. 拡張 ACL の / (ルート) ターゲットを使用する
件名 アクセス権 [このコンテナとすべての子コンテナ] の選択 説明
-デフォルト- デフォルト:
  • すべてのユーザー、グループ、リソース文書の拒否
  • 許可: 読み込み、参照
  • 禁止: 作成、削除、書き込み、管理
はい 管理者ではないユーザーが、ユーザー文書、グループ文書、リソース文書のみを読み取りできるようにします。
Admins/West/Renovations グループ デフォルト:
  • 許可: 読み込み、参照
  • 禁止: 作成、削除、書き込み、管理
はい Admins/West/Renovations グループのメンバーが / (ルート) と O=Renovations ターゲットにある文書を修正できないようにします。
Admins/East/Renovations グループ デフォルト:
  • 許可: 読み込み、参照
  • 禁止: 作成、削除、書き込み、管理
はい Admins/East/Renovations グループのメンバーが / (ルート) と O=Renovations ターゲットにある文書を修正できないようにします。
表 3. 拡張 ACL の OU=West ターゲット
件名 アクセス権 [このコンテナとすべての子コンテナ] の選択 説明
Admins/West/Renovations グループ デフォルト:
  • すべてを許可
はい Admins/West/Renovations のメンバーが OU=West の文書に対するすべてのアクセス権を持つようにします。
表 4. 拡張 ACL の OU=East ターゲット
件名 アクセス権 [このコンテナとすべての子コンテナ] の選択 説明
Admins/East/Renovations グループ デフォルト:
  • すべてを許可
はい Admins/East/Renovations のメンバーが OU=East の文書に対するすべてのアクセス権を持つようにします。